 本記事は 夏休みクラウド自由研究 8/11付の記事です。 |
本記事は、これだけは知っておこう ~Catoクラウドに関連するIT用語まとめ~ 【ネットワーク編】 – TechHarmony (usize-tech.com)の続編になります。
今回は【セキュリティ編】と題して、Catoクラウドにまつわるセキュリティ用語を取り上げてご説明していきます。
そもそもSASEとは、Catoクラウドとは何か、が知りたい方は以下の記事をご覧いただければと思います。
・世界初のSASEプラットフォーム Catoクラウドとは? – TechHarmony (usize-tech.com)
それでは早速、用語解説していきます。
Firewall(ファイアウォール)
Firewall(ファイアウォール)とは、ネットワークの境界に設置し、ネットワーク内外の通信を遮断・監視するソフトウェアやハードウェアのことを言います。
一般的には、内部(LAN)と外部(WAN・インターネット)の境界に設置し、内部から外部への通信を必ずファイアウォールを通過するように構成します。ファイアウォールを通過する通信を、あらかじめ定めたルールに従って制御します。
ルールは主に、プロトコル(TCP/UDP/ICMPなど)、送信元/先のIPアドレスとポート番号を指定し、通信を制御することになります。
また、ファイアウォールには、次世代型ファイアウォールと呼ばれる、アプリケーション層でも制御可能なファイアウォールがあります。
IPアドレスが変更されるような宛先への通信が、アプリケーションとして識別され制御可能になります。
ファイアウォールの2つのリスト型
ファイアウォールのルールの設定方針には、ブラックリスト型とホワイトリスト型の2種類があります。
ブラックリスト型
ブラックリストとは、不適切と判断する通信を拒否するルールのみを記載するリストのことです。
ファイアウォールでは、ブラックリストで運用されることが多いです。
次世代型ファイアウォールでは、不適切な通信として、暴力やギャンブルなどのカテゴリでまとめて一律拒否するルールを記載して運用することが多いです。
ホワイトリスト型
ホワイトリストとは、ブラックリストとは反対に、適切な通信を許可するルールのみを記載したリストのことです。
何も設定していない初期設定ではすべての通信が拒否されています。
そのため、セキュリティレベルは高いですが、ファイアウォール導入開始まもなくは、適切な通信を許可しきれていないとブロックされてしまう場面が発生してしまうことに注意が必要です。
Catoのファイアウォール
Catoでは、インターネットへのファイアウォールはブラックリスト型、WAN内のファイアウォールはホワイトリスト型と分かれています。
インターネットへのファイアウォールでは、ブラックリスト型で運用され、上述したようなカテゴリを指定して通信拒否する運用が可能です。また、カテゴリは随時Cato社によって更新されております。
WAN内の通信は原則拒否し、必要な通信のみを随時許可するホワイトリスト型の運用となります。
これはゼロトラストの考え方をもとにしており、たとえ企業内の通信であっても信頼せず、事前定義した通信のみを許可するホワイトリスト型となっています。
デジタル証明書
デジタル証明書とは、その証明書の所有者がどのような存在かを証明する電子文書のことです。
TLSなどの暗号化通信の中で利用されることが多いです。そのほかに、本人確認やデジタル署名などでも利用されます。
デジタル証明書は、認証局(CA)と呼ばれる機関が発行します。
クライアントは信頼する認証局自身の証明書をあらかじめ保持しています。
証明書が信頼する認証局によって署名されたものかどうか、検証することでクライアントは証明書の正当性を確認できます。
また、TLS証明書には公開鍵が含まれています。
公開鍵は、秘密鍵と組み合わせることで、公開鍵暗号方式を実現できます。
この公開鍵暗号方式を利用して、TLS通信を実現できます。
TLS
TLSとは、Transport Layer Securityの略称で、トランスポート層の上で暗号化通信を行うための通信プロトコルのことです。
仮に通信している間に盗聴されても、TLSで通信していれば暗号化されているため、通信の解読防止の役割を果たします。
クライアントとサーバ間での通信において、TLSを利用することでサイトへのログイン情報や個人情報のような機密性の高いデータを安全にやり取りすることが可能です。
IDSとIPS
IDSは、Intrusion Detection Systemの略称で、「不正侵入検知システム」と和訳されます。
ネットワーク上のトラフィックを監視しており、悪意のあるトラフィックを検出するとシステム管理者等へ通知します。
IPSは、Intrusion Prevention Systemの略称で、「不正侵入防止システム」と和訳されます。
その名の通り、IPSでは検知のみですが、IDSの場合はネットワーク上の通信を監視して不正なアクセスをブロックします。
2種類の検知方法
IDSとIPSが悪意のあるトラフィックとして検知する方法は、シグネチャ型とアノマリ型の2種類あります。
シグネチャ型
悪意のあるトラフィックは、シグネチャと呼ばれる、不正なアクセスパターンとして事前に登録されたリストをもとに判断されます。
登録したパターンのみを検知するため、誤検知は起きづらいですが、未知の脅威を見逃す可能性が高くなります。
アノマリ型
アノマリ型はシグネチャ型とは反対に、事前に正常なアクセスパターンを登録したリストをもとに判断されます。
こちらは未知の脅威に対して効果がありますが、一方で業務内容等の変化に応じてリストを更新していないと、誤検知が起きやすくなります。
なお、Catoでは、セキュリティオプションにてIPS機能が提供されています。Catoクラウドを通過したトラフィックをシグネチャ型で検知・防御する機能があります。
まとめ
いかがでしたでしょうか。
本記事では、ネットワーク設計・運用において、セキュリティ分野に着目して特に重要な用語を取り上げています。
Catoクラウドの初期設定や障害調査において用語の意味が理解できない場面で、ぜひ本記事に立ち戻ってご活用いただければ幸いです。
今後続編として、【応用編】の投稿も予定しています。